Wikileaks macht Tool zur Erkennung von CIA-Malware öffentlich

Wikileaks hat weitere Dateien aus den als Vault 7 bezeichneten Geheimdokumenten der Central Intelligence Agency (CIA) veröffentlicht. Diesmal handelt es sich jedoch nicht um Schriftstücke, sondern um 676 Dateien mit Quellcode des Anti-Forensic-Tools Marble. Wie Ars Technica berichtet, kann die Werkzeugsammlung auch benutzt werden, um von der CIA entwickelte Malware zu enttarnen.

Eigentlich soll Marble laut Wikileaks verhindern, dass Ermittler und Hersteller von Sicherheitssoftware Viren, Trojaner oder Hacking-Angriffe in Verbindung mit dem US-Auslandsgeheimdienst bringen. Marble verstecke bestimmte Code-Fragmente und entziehe sie so einer optischen Prüfung. Es biete „flexible und leicht zu nutzende“ Tools zur Verschleierung der Herkunft von Programmcode.

Der Quellcode von Marble enthalte zudem Textbeispiele nicht nur in Englisch, sondern auch in anderen Sprachen wie Russisch, Koreanisch, Arabisch und Farsi. Das erlaube es nicht nur vorzutäuschen, dass die Sprache des Malware-Autors nicht US-Englisch, sondern Chinesisch sei, sondern auch die Nutzung von Chinesisch zu verheimlichen. Das erschwere es forensischen Ermittlern, Rückschlüsse zu ziehen beziehungsweise führe sie bewusst in die Irre.

„Der Marble-Quellcode enthält aber auch ein Tool, um die Textverschleierung der CIA rückgängig zu machen“, teilt Wikileaks mit. „Zusammen mit den veröffentlichten Verschleierungstechniken ergibt sich ein Muster oder eine Signatur, die forensischen Ermittlern helfen kann, frühere Hacking-Angriffe oder Viren der CIA zuzuordnen. Marble wurde von der CIA im 2016 eingesetzt. Es erreichte 2015 die Version 1.0.“

Das Marble Framework diene ausschließlich der Verschleierung. Es enthalte keinerlei Details zu Schwachstellen oder Exploits.

„Das scheint einer der technisch schädlichsten Leaks zu sein, den Wikileaks je veröffentlicht hat“, kommentierte Nicholas Weaver, Sicherheitsforscher an der University of California in Berkeley, im Gespräch mit der Washington Post. Ziel sei es offenbar, direkt laufende Operationen der CIA zu stören.

Ars Technica weist darauf hin, dass nicht nur Ermittler, sondern auch Entwickler den von Wikileaks veröffentlichten Marble-Quellcode benutzen könnten, um Tools zu erstellen, die CIA-Malware aufspüren kann. Darüber hinaus seien aber auch Cyberkriminelle in der Lage, mithilfe von Marble ihren Malware-Code zu verschleiern und somit die Effektivität ihrer Schadprogramme zu steigern.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.